Mikrosegmentierung - sollte man machen oder nicht?

[wznutzer 35]

Guten Tag,

 

evtl. habe ich den Begriff falsch gewählt. Während es üblich ist ganze Netzwerke voneinander zu treffen (VLANs), lese ich kaum etwas darüber die Windows-Firewall zu nutzen.

 

Macht Ihr das auch? Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein.

 

Ist das über das Ziel hinaus? Ich meine, man versucht sich ja so vor jemandem zu schützen der ohnehin schon im Netzwerk ist, andererseits gibt es ja die Sache mit lateral movement. Der kürzlich veröffentlichte Fall, bei dem über die Veeam-Dienste ein Konto angelegt worden war, wäre ja dadurch verhindert worden. Oder ist das in großen Netzwerken einfach nicht zu handeln?

 

Grüße und einen schönen Tag

[NorbertFe 2.004]

vor 32 Minuten schrieb wznutzer:

Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein.

Also machst du es eher gar nicht? Oder exzessiv/intensiv?

Grundsätzlich kann man sagen, alles was die Sicherheit erhöht ist nicht übers Ziel hinaus. ;)

bearbeitet vor 17 Stunden von NorbertFe

[testperson 1.652]

Je nachdem wie du es machst, ist da ja auch noch Luft nach oben:

• Part 3, 4, 5: Windows Firewall: The Series – AJ's Tech Chatter (anthonyfontanez.com)
• Endpoint Isolation with the Windows Firewall | by Dane Stuckey | Medium

[wznutzer 35]

vor 31 Minuten schrieb NorbertFe:

Also machst du es eher gar nicht? Oder exzessiv/intensiv?

Extensiv, ausgedehnt / umfassend, ob ich es auch exzessiv (maßlos) mache, weiß ich nicht. Aber lt. @testperson ist es noch ausbaubar .

[NorbertFe 2.004]

Lustig ich hatte die zweite Bedeutung im Hirn:

Zitat

auf großen Flächen, aber mit verhältnismäßig geringem Aufwand betrieben

 

[daabm 1.318]

Da fällt mir spontan immer das hier ein: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj721517(v=ws.11)

Wird natürlich mehr als anstrengend in heterogenen Umgebungen - aber wenn alles unter Windows läuft und in der Domäne ist, ist das einfacher als hunderte von FW-Freigaben.

[cj_berlin 1.296]

Moin,

 

da würde ich doch gern meinen Vorrat an 2-Cent-Münzen hier ausschütten  

 

Re Overkill: Ich predige seit Jahren, vermutlich inzwischen Jahrzehnten: In Sachen Security ist alles, was mit vorhandenem Know-How und mit den vorhandenen Resourcen managebar ist, einfach zu tun. Alles, was sich gut anhört, aber nicht managebar ist, ist einer Risikobewertung zu unterziehen - ist es riskanter, XYZ nicht zu machen, oder mit einem nicht beherrschbaren Konstrukt zu leben? In meinen Augen gehört der Fall "Alles ist im AD, hört auf GPOs und hat eine Windows-Firewall am Start, also machen wir granulare Firewall-Regeln per GPO" in die Kategorie "managebar".

 

Re Mikrosegmentierung: Ich wünsche mir seit Jahren, wir hätten zwei Begriffe dafür. Und dann wäre in meiner Welt "Mikrosegmentierung" genau NICHT das, was die Windows-Firewall tut, sondern Distributed Firewalls egal welcher Art, die den Traffic auch innerhalb eines Subnetzes zwar granular steuern, den einzelnen Hosts aber verborgen bleiben. Aber wir haben soweit ich weiß nur den einen Begriff, also deckt er auch die Windows-Firewall ab.

 

Warum hier unterscheiden? Eine Host-Firewall ist ein anderthalbschneidiges Schwert - einerseits schützt sie direkt an der Quelle, andererseits muss dafür die Konfiguration lokal vorgehalten werden. Und bei der Windows-Firewall ist sie noch nicht einmal obfuskiert. Somit erschwert man zwar im ersten Moment Lateral Movement eines potentiellen Angreifers, erleichtert ihm dafür jedoch zumindest in einem Punkt die Reconnaissance. Besonders viel schenkt man den Kolleginnnen dann, wenn man nicht nur eingehende, sondern auch ausgehende Regeln pflegt. Da ist der von @daabm zitierte Ansatz schon deutlich sparsamer in Bezug darauf, was durch die lokale Registry preisgegeben wird.